SSE-CMM은 프로세스 참조 모델로 표현됩니다. 정보인 시스템 또는 연결된 시스템의 시퀀스에서 보안을 실행하기 위한 요구 사항에 집중되어 있습니다. SSE-CMM은 조직 내에서 보안 엔지니어링을 실행하기 위한 일반 프레임워크입니다. 가능하면 일부 제조 CMM과 함께 사용하십시오.
SSE-CMM은 이러한 프로세스에 포함된 목표와 활동을 정의하며 이러한 활동과 절차의 성숙도를 구현함으로써 달성됩니다. SSECMM은 사용할 특정 방법론이나 프로세스에 대한 지침을 지원하지 않습니다. 그 유용성은 조직의 현재 프로세스를 모델에 포함된 프로세스와 통합하는 데 있습니다.
또한 각 조직의 목표와 목표에 따라 SSE-CMM 내의 다양한 프로세스가 정의된 컨텍스트에서 적용할 수 없습니다. 이러한 이유로 조직은 필요에 따라 적용 가능성을 결정하기 위해 모델 내 여러 관행 간의 관계를 주의 깊게 연구해야 합니다.
SSE-CMM 모델은 서로 다르지만 상호 관련된 두 영역 또는 도메인 및 기능과 같은 차원으로 나뉩니다. 두 섹션에 대해 서로 다른 프로세스 영역과 활동이 정의됩니다. 도메인 관련 관행은 보안 도메인에 대해 규제되는 반면 기능 관행은 보다 일반적이고 광범위한 도메인에 사용됩니다. 능력 차원은 능력의 프로세스 관리 및 제도화를 나타내는 관행을 정의합니다.
SSE-CMM은 다른 CMM과 마찬가지로 Deming의 작업을 기반으로 하며 프로세스 정의 및 개선에 중점을 두면서 핵심 가치로 프로세스 정의 및 개선에 집중합니다.
SSE-CMM은 보안 결함 또는 사고의 출현을 보고 결함을 수정하여 전체 결함을 제거하기 위해 관련 프로세스에서 결함 식별을 요청합니다. 프로세스를 개선할 수 있으며 이러한 프로세스는 예측 가능한 결과와 함께 예상되어야 합니다. 또한 이러한 프로세스에 인접한 제어를 정의하고 명시하지 않아야 합니다.
SSE-CMM은 엔지니어링 지향 조직에 통합하기 위한 복잡하고 잘 테스트된 아키텍처입니다. 조직이 제품 개발과 같이 엔지니어링을 수행하는 경우 일반적으로 다른 CMM 내에서 통합되는 SSE-CMM의 필요성이 매우 중요할 것입니다.
SSE-CMM은 엔지니어링 기능이 처리되지 않은 서비스 조직에 가장 적합하지 않습니다. SSE-CMM에는 관리 정보 보안 측면에서 전체적으로 교육해야 할 핵심 교훈이 분명히 있지만 이러한 교훈은 엔지니어링 컨텍스트 외부에서 실행하기에는 복잡할 것입니다.
CMM 접근 방식은 매우 건전하지만 미국 비즈니스 문화에서는 매우 해외입니다. 프로세스에 대한 통계적 분석으로 시작하여 프로세스에 대한 향상된 통찰력을 얻고 프로세스와 관련된 지속적인 품질 개선 환경을 조성한다는 최종 목표를 향해 이러한 통계를 사용하여 해당 프로세스 내부의 결함을 격리하는 것으로 믿어집니다.